회원 수 200만명에 달하는 온라인 커뮤니티 `뽐뿌`가 연휴기간 랜섬웨어 대량 유포지로 악용됐다. 지난해 개인정보 유출 사고로 논란을 일으킨데 이어 1년여 만에 발생한 대형 보안 사고다. 감염 사실을 알리는 회원 글이 게시된 후에도 조치가 이뤄지지 않아 피해가 속출했다.

Photo Image
<알약 랜섬웨어 차단 알림 화면>

7일 업계에 따르면 지난 3일부터 뽐뿌를 통해 `크립트XXX` 랜섬웨어가 유포됐다. 파일을 암호화하고 풀어 주는 대가로 금전을 요구한다. 배너광고 플래시 취약점 등을 이용해 사이트를 방문하기만 해도 감염될 가능성이 높다.

최상명 하우리 CERT 실장은 “지난 연휴 기간 평상시보다 4배 이상 랜섬웨어 감염자가 발생했다”며 “뽐뿌를 비롯한 인터넷 사이트에서 주로 외주를 주는 광고서버 취약점을 노리기 때문에 대처가 쉽지 않다”고 말했다.

Photo Image
<한글화된 크립트XXX 랜섬웨어 비트코인 지불 페이지(자료:하우리)>

크립트XXX는 최근 활동이 종료된 테슬라크립트에 이어 최근 기승을 부리는 랜섬웨어다. 보안업체에서 복구 도구를 개발했지만 연이은 변종 등장과 회피 기법 진화로 피해가 급증했다. 이번 유포된 버전은 금전 요구 안내 사이트에 한글을 지원한다. 국내 사용자를 노린 정황이다. 지금까지 개발된 복구 도구로는 복호화가 불가능하다.

Photo Image
<ⓒ게티이미지뱅크>

이번 변종은 정상 파일을 위장하는 기법으로 주요 백신 등에서 악성코드 탐지를 위해 사용하는 평판탐지 기능을 회피했다. 윈도에서 실행되는 기본 DLL 파일 이름을 변경해 특정 디렉토리로 이동시키고 해당 명칭으로 랜섬웨어를 실행한다. 정상파일 프로세스로 인식되기 때문에 백신에서 탐지가 어렵다.

Photo Image
<뽐뿌>

대형 커뮤니티인 뽐뿌가 유포지로 악용되면서 피해가 급격히 늘었다. 지난해 국내 랜섬웨어 피해 서막을 연 클리앙 사태에 이어 단일 규모로는 최다 랜섬웨어 경유지다. 뽐뿌는 지난해 9월에도 허술한 개인정보 관리로 회원 정보가 유출됐다. 이후 후속 조치로 약속한 정보보호관리체계(ISMS) 의무 인증조차 반년 넘게 이행하지 않았다.


사이트가 랜섬웨어 유포지로 이용되면 운영자는 피해자이자 가해자가 될 수 있다. 주로 외주 광고 서버 취약점을 노리는 만큼 수시로 악성코드 유포 정황을 확인하고 대처해야 한다.

박정은기자 jepark@etnews.com